„Hype“ išpirkos reikalaujanti programa

„Hype“ išpirkos reikalaujanti programa yra tipiškas šiuolaikinės failus šifruojančios kenkėjiškos programos pavyzdys: ji iššifruoja aukų duomenis, palieka išpirkos raštelį ir prie užšifruotų failų prideda atskirą plėtinį bei identifikatorius. Įrenginių apsauga nuo tokių grėsmių kaip „Hype“ yra labai svarbi, nes baigus šifravimą, failų paprastai neįmanoma atkurti be užpuoliko privačiojo rakto, o mokėjimas užpuolikams negarantuoja atkūrimo ir tuo pačiu skatina tolesnius nusikaltimus.

Ką daro hype – elgesio santrauka

Analizė rodo, kad „Hype“ taikosi į vartotojų failus ir pervadina juos, įtraukdama užpuolikų kontaktinius duomenis ir unikalų aukos ID, o tada prideda naują plėtinį. Analizuotiems pavyzdžiams failų pervadinimas atliekamas pagal panašų modelį:
„originalname.EXT“ → „originalname.EXT.EL.PAŠTAS=[translation@gmail.com“
]ID=[000C91DC347DF549].hype'

Išsiunčiamas išpirkos raštelis, pavadintas maždaug „hype Ransmoware.txt“; jame teigiama, kad sistema yra „neapsaugota“, siūloma „ištaisyti“ situaciją ir nurodoma aukoms atsiųsti bandomąjį failą iššifravimo įrodymui. Rašte pateikiami du el. pašto adresai: „ranshype@gmail.com“.
ir „ranshype@tuta.io“ bei „Telegram“ vartotojo vardą (@hype20233) kaip susisiekimo priemonę.

Kaip veikia ataka – techninė apžvalga

„Hype“ seka įprastą išpirkos reikalaujančių programų gyvavimo ciklą. Po pradinio vykdymo (dažnai per kenkėjišką priedą, atsisiuntimo programą, spragą ar nulaužtą programinę įrangą), ji nuskaito pasiekiamą saugyklą, ieškodama tikslinių failų tipų, užšifruoja juos simetriniu raktu, o tada paprastai užšifruoja arba apsaugo tą raktą naudodama antrą, užpuoliko turimą mechanizmą. Užšifruoti failai pervadinami, kad būtų pažymėtas savininkas ir nukreipta auka į išpirkos raštelį. Kadangi iššifravimui reikalingas užpuoliko raktas arba anksčiau paruošta atsarginė kopija, aukos, neturinčios patikimų atsarginių kopijų, turi mažai atkūrimo galimybių.

Poveikis ir atsigavimas

Tokios išpirkos reikalaujančios programinės įrangos kaip „Hype“ sukelia duomenų praradimą, veiklos sutrikimus ir galimus verslo nuostolius arba reguliavimo institucijų pažeidimus. Atkūrimas be atsarginių kopijų yra mažai tikėtinas: daugumos užšifruotų failų negalima atkurti be užpuoliko iššifravimo įrankio. Aukos raginamos nemanyti, kad mokėjimas garantuoja failo grąžinimą – užpuolikai gali nesugebėti iššifruoti, pareikalauti tolesnio mokėjimo arba pakartotinai naudoti pavogtus duomenis. Teisingas atkūrimo kelias paprastai apima: užkrėstų sistemų izoliavimą, išvalymą ir atkūrimą iš žinomų, patikimų atsarginių kopijų ir infrastruktūros stiprinimą, siekiant užkirsti kelią pakartotiniam užkrėtimui.

Geriausia saugumo praktika rizikai sumažinti

Reguliarios atsarginės kopijos ir bandomasis atkūrimas : saugokite bent dvi svarbių duomenų kopijas – vieną vietoje, kad būtų galima greitai atkurti, ir vieną ne vietoje arba debesies paslaugoje, ir užtikrinkite, kad atsarginės kopijos būtų izoliuotos, kad išpirkos reikalaujanti programinė įranga negalėtų jų pasiekti. Dažnai atlikite bandomuosius atkūrimo darbus.

Pataisų ir inventoriaus valdymas : palaikyti atnaujintą programinės įrangos ir išteklių inventorių ir nedelsiant įdiegti saugos pataisas operacinėms sistemoms, programoms ir tinklo įrenginiams.

Mažiausių privilegijų principas ir tinklo segmentavimas : apriboti vartotojų teises, kad prieigą turėtų tik tie, kuriems jos reikia; segmentuoti tinklus taip, kad užkrėstas galinis taškas negalėtų laisvai pasiekti atsarginių kopijų, serverių ar kitų segmentų.

Galinių įrenginių aptikimas ir reagavimas (EDR) + kenkėjiškų programų naikinimas : diegti modernią EDR / antivirusinę programą su elgsenos aptikimu, galinčią blokuoti įtartiną šifravimo veiklą arba apie ją įspėti; koreguoti įspėjimus, kad sumažėtų triukšmas ir būtų užtikrinta savalaikė žmogaus atliekama peržiūra.

El. pašto ir žiniatinklio saugumas : naudokite išplėstinį el. pašto filtravimą, blokuokite įtartinus priedus ir makrokomandas palaikančius dokumentus bei įdiekite žiniatinklio filtravimą, kad vartotojai nepatektų į žinomas kenkėjiškas svetaines.

Daugiafaktorinis autentifikavimas (MFA) : norint sumažinti paskyros perėmimo riziką, nuotolinei prieigai, administratoriaus paskyroms ir debesies paslaugoms reikalingas MFA.

Mokėjimo vengimas ir judėjimas į priekį

Išpirkos mokėjimas yra rizikingas ir dažnai neveiksmingas pasirinkimas; jis negarantuoja failo grąžinimo ir suteikia papildomų lėšų nusikalstamoms operacijoms. Vietoj to, sutelkite išteklius į izoliaciją, duomenų atkūrimą iš saugių atsarginių kopijų ir saugumo gerinimą, kad panaši ataka nepasikartotų. Jei trūksta vidinių pajėgumų, pasitelkite patikimų incidentų reagavimo ir teismo ekspertizės įmonių pagalbą. Greiti ir profesionalūs veiksmai sumažina žalą ir padidina visiško atsigavimo tikimybę.